組織は、Windowsコンピューターとユーザーを一元管理するためにActive Directoryを使用しています。Windows Server上でActive Directoryドメインコントローラー(ADDC)を構成することは便利であり、管理者はこのサーバーを使用してユーザーの認証、権限の設定、共有リソースへのアクセスの管理ができます。
既にWindowsを使用している多くの企業は、Microsoft 365(以前のOffice 365)やAzureなどのMicrosoftクラウドプラットフォームに移行しています。この場合、システム管理者はMicrosoft 365のユーザーのアカウントを作成する必要があります。時には、組織はローカルユーザーアカウントとクラウドユーザーアカウントに同じ資格情報を使用したいと考えることがあります。管理者は、オンプレミスのローカルドメインのユーザーをOffice 365およびAzure Active Directory(Azure AD)と同期させることで、ローカル認証とクラウド認証の両方に同じユーザーアカウントを使用することができます。これはハイブリッド展開として知られ、Microsoftのソフトウェア製品を使用する組織の間で人気があります。
このブログ投稿では、Office 365 AD同期について説明し、Microsoft製品のためにオンプレミスとクラウドのユーザーアカウントを同期させる方法について説明します。
Office 365とAzure AD
Office 365はAzure Active Directoryのテナントであり、認証に使用されるデータを保存し、Microsoftのクラウド環境へのアクセス許可を構成するためにポータルを使用しています。Office 365テナントの管理者は、Azureポータルにアクセスしてアクセス許可を管理し、他の設定を構成できます。オンプレミスで実行中のADDC(Active Directory Domain Controller)がある場合、Office 365をADと同期させることができます(オンプレミスのActive DirectoryとAzure Active DirectoryをOffice 365と同期させる)。その結果、Office 365 Active Directoryの統合が実現します。
このアプローチにより、ハイブリッドアイデンティティが提供され、ユーザーはオフィス/データセンター内のローカルリソースとOffice 365サービスにアクセスするために同じ資格情報を使用できます。この場合、ユーザー、グループ、および連絡先などのActive Directoryデータが同期されます。ディレクトリの同期は、ハイブリッド環境を持ちたい場合にクラウドへ移行する重要なステップです。
Azure AD Connectとは何ですか?
Azure AD Connectは、ローカルサーバーにインストールされる軽量なツールであり、ADDCとして機能します。Azure AD Connectは、クラウドで使用されるAzure Active DirectoryとローカルのActive Directoryのアイデンティティデータを同期します。このツールは、ドメインコントローラーまたはドメインのメンバーであるWindows Serverにインストールできます。Azure AD Connectは、廃止されたディレクトリ同期ツール(DirSync)に取って代わりました。
Azure AD Connectは、以下の機能をサポートしています:
- パスワードハッシュの同期
- パススルー認証
- フェデレーテッド認証。クライアントコンピューターが別のIDプロバイダーから認証を要求できます。
デフォルトでは、オンプレミスのADからOffice 365で使用されているAzure ADへのディレクトリ同期が実行されます。ただし、Active Directory同期を逆方向に構成し、Azure ADからオンプレミスのADに変更を同期することもできます。デフォルトでは、同期は30分ごとに実行されるようにスケジュールされています。スケジュールの構成を編集し、PowerShellでOffice 365ディレクトリ同期を強制することができます。デルタ同期を構成して、以前のOffice 365 AD同期以降に変更されたデータのみを同期できます。デルタ同期は、前回の同期から7日以内に実行することが推奨されています。
要件
Azure AD Connectをインストールして実行するためには、以下を確認してください:
- Windows Serverオペレーティング システムを実行するActive Directory ドメイン コントローラーがオンプレミスにインストールおよび構成されている必要があります。
- オンプレミスのActive Directoryの機能レベルは、Windows Server 2003以降である必要があります。
- ドメイン管理者権限またはドメインメンバーであるコンピューターのローカル管理者権限が必要です。
サポートされるオペレーティング システム:Windows Server 2012、Windows Server 2016、Windows Server 2019(GUI付き)。Windows Server Coreはサポートされていません。Windows Serverのエディションは、標準以上である必要があります。Essentialsエディションはサポートされていません。
.NET Framework 4.5.1以降がAzure AD Connectを実行するWindows Serverマシンにインストールされている必要があります。
PowerShell 3.0以降が必要です。スクリプトの実行ポリシーがスクリプトの実行を許可する必要があります。推奨されるポリシーはRemoteSignedです。
Office 365テナントに関連付けられた外部ドメインが必要です。
Azureテナント(Office 365テナント/管理者アカウント用)へのアクセスが必要です。グローバル管理者権限が必要です。
A directory in Azure AD must be created. A domain controller in Azure AD must be configured as writable.
ネットワーク要件:
- MicrosoftサーバーへのアウトバウンドHTTPS接続
- TCP 80。HTTPプロトコルは、TSL/SSL証明書の検証のために証明書失効リストをダウンロードするために使用されます。
- TCP 443。HTTPSはAzure Active Directoryとのデータ同期に使用されます。
- WindowsマシンでTLS 1.2を有効にする必要があります。
環境の準備
ローカルドメインで使用されているオンプレミスActive DirectoryのUPN(またはユーザー プリンシパル名)サフィックスを確認します。ローカルドメインはルーティング可能であり、ローカルドメインのサフィックスは.local、.test、などではない必要があります。このタイプのサフィックスを持つドメインはルーティング不可として分類され、これらのドメインは.onmicrosoft.comドメインとのみ同期できます。例えば、オンプレミスActive Directoryに.nakivo.testドメインがあり、Azure Active Directoryにはnakivo.onmicrosoft.comがある場合、[email protected]は[email protected]に同期される必要があります。ローカルActive Directoryにdomain.net名があり、Office 365およびAzureで使用される外部ドメインの名前もdomain.netである場合、オンプレミスActive Directoryの[email protected]は、Office 365で認証および権限の構成に使用されるAzure ADの[email protected]と同期できます。したがって、ドメイン名は完全な同期および名前の一致のために.com、.net、.uk、.us、.edu、などの正しいサフィックスを持つ必要があります。Active DirectoryのローカルユーザーのUPNは、Azure ADおよびOffice 365と同期できます。
注意:このブログ投稿で使用されているドメイン名は例として使用されています。環境の構成に応じて正しいドメイン名を使用してください。
Office 365のドメイン名をMicrosoft 365管理センターで確認できます。使用可能なドメインは、設定>ドメインに移動して、Office 365テナントにリンクできるかどうかを確認できます。
ドメインのルーティング設定を行う
オンプレミスドメインの設定を編集して、必要なUPNサフィックスを追加し、ドメインをルーティング可能にすることで、同期機能を向上させることができます。既存のオンプレミスドメインにUPNサフィックスを追加して、オンプレミスとMicrosoft 365(Azure)のユーザー名を一致させます。まず、新しいサフィックスを登録し、次にオンプレミスのActive Directoryユーザーを更新して、更新されたサフィックスを使用するようにします。
新しいUPNサフィックスの追加
オンプレミスドメインコントローラー上のActive Directoryドメインと信頼に移動します。これを行うには、Server Managerを開き、ツールをクリックし、開いたメニューでActive Directoryドメインと信頼をクリックします。代替として、Runメニュー(Win+Rを押してRunメニューを開く)またはコマンドプロンプト(CMD)でdomain.mscを実行します。
Active Directoryドメインと信頼ウィンドウが開きます。Active Directoryドメインと信頼を右クリックし、コンテキストメニューでプロパティをクリックします。
正しい標準化されたドメイン名と正しいサフィックスを入力します。たとえば、id.com、nakivo.comなどです。追加をクリックし、OKをクリックして設定を保存し、このウィンドウを閉じます。
既存のユーザーのUPNの編集
現在、オンプレミスのActive Directoryドメインコントローラーで既存のユーザーのUPNサフィックスを編集する必要があります。
サーバーマネージャーを開き、ツールメニューに移動してActive Directoryユーザーとコンピューターに移動します(以前と同様に)。 代替手段として、Win+Rを押して実行メニューを開き、実行ダイアログボックスにdsa.mscと入力し、Enterをクリックします。
Active Directoryユーザーとコンピューターウィンドウで、ドメインを展開し、ユーザーディレクトリをクリックします。 ドメインユーザーを選択し、ドメインユーザーを右クリックしてコンテキストメニューでプロパティをクリックします。
ユーザープロパティウィンドウでアカウントタブを選択します。 ドロップダウンメニューで、正しいドメイン名と正しいサフィックスを選択します。 設定を保存してウィンドウを閉じるためにOKをクリックします。
オンプレミスドメインのメンバーであるすべてのユーザー(Office 365 AD同期を実行したいユーザー)に対してこの操作を繰り返します。 オンプレミスActive Directoryに多数のユーザーがいる場合は、各ユーザーのプロパティを手動で編集する代わりに、PowerShellを使用して一括編集します。 この目的のために上記のコマンドを使用してください:
$LocalUsers = Get-ADUser -Filter “UserPrincipalName -like ‘*domain.local’” -Properties userPrincipalName -ResultSetSize $null
$LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace(“@domain.local”,”@domain.com”); $_ | Set-ADUser -UserPrincipalName $newUpn}
環境設定に基づいて、domain.localとdomain.comの代わりに正しいドメイン名を設定してください。
MSOnline PowerShellモジュール(Azure AD PowerShellモジュール)を使用して、PowerShellでUPNとアドレスを変更できます。
Set-MsolUserPrincipalName -UserPrincipalName [email protected] -NewUserPrincipalName [email protected]
UPNを更新した後は、オンプレミスのActive DirectoryドメインサービスをMicrosoft 365およびAzure Active Directoryと同期する準備が整います。
電子メールプロキシ属性の編集
各ユーザーの電子メール属性を編集し、SMTPプロキシメールアドレスを設定します。
SMTPプロキシを設定できる「属性エディター」タブを表示するには(ユーザープロパティウィンドウで)、Active Directoryユーザーズとコンピューターウィンドウで、表示 > 詳細設定をクリックします。
次に、ユーザーを選択して、ユーザーのプロパティを開き、属性エディタータブをクリックし、proxyAddresses属性をダブルクリックします。
オンプレミスのドメインコントローラー上のActive Directoryユーザーのために、Office 365の電子メールアドレスはSMTPプロキシアドレスとして定義する必要があります。たとえば:
SMTP:[email protected]
プライマリの電子メールアドレスには、大文字のSMTPが含まれている必要があります。その他の電子メールのプロキシアドレスは、小文字のsmtpで始まることができます。
追加をクリックして値を追加し、OKをクリックして設定を保存します。
Office 365の同期が必要なユーザーごとにこの操作を繰り返します。
Office 365管理センターでユーザー名を確認します。
Microsoft 365管理センターを開き、ユーザー>アクティブユーザーに移動し、ユーザー名とそれらの名前で使用されるドメインサフィックスを確認します。 nakivo.comのようなカスタムドメインをお持ちの場合、nakivo.onmicrosoft.comドメインを使用した名前の代わりに、これらのユーザー プリンシパル名を選択してください。
適切なユーザーの近くにある三点をクリックし、開かれたメニューでユーザー名とメールの管理を選択して、ユーザー名に必要なドメインを選択します。Office 365内のドメイン名とユーザー名がオンプレミスのActive Directory内のユーザー名と一致していると理想的です。
Microsoft 365管理センターでグループを開き、ユーザーのメールアドレスを編集したのと同様に、グループのアドレスも編集します。
Azure AD Connectのインストール
以下のリンクを使用して、MicrosoftのWebサイトからAzure AD Connectをダウンロードします:
https://www.microsoft.com/en-us/download/details.aspx?id=47594
AzureポータルのAzure AD ConnectページでAzure AD Connectの状態を確認し、ダウンロードリンクを取得できます。これを行うには、AzureポータルでAzure Active Directory > Azure AD Connectに移動します。
このツールをインストールするサーバーにAzure AD Connectインストーラーファイルを保存します。たとえば、ドメインコントローラーに保存します。
Azure AD Connectインストーラーファイル(AzureADConnect.msi)を実行します。Azure AD Connectウィザードが開きます。
ようこそ。ウェルカム ステージで、「ライセンス条項とプライバシーに同意します」を選択し、続行をクリックしてください。
エクスプレス設定。利用可能な2つのオプションのうちの1つを選択します – カスタマイズまたはエクスプレス設定を使用します。カスタマイズオプションは、Office 365アクティブディレクトリ同期を構成する際により多くの制御を提供します。
必須コンポーネント。インストールする必要のあるコンポーネントを選択し、選択したオプションの構成設定を定義します。
- カスタム インストール場所の指定
- 既存のSQL Serverを使用
- 既存のサービス アカウントを使用
- カスタム同期グループの指定
- 同期設定のインポート
インストールをクリックして続行します。
ユーザー サインイン。利用可能なサインオン方法のうちの1つを選択します。一部のオプションには、構成するための追加の手順が必要です。
- パスワード ハッシュの同期。オンプレミスのActive DirectoryからユーザーのパスワードのハッシュがAzure Active Directoryと同期されます。
- パススルー認証。ユーザーは、オンプレミスのADとクラウド(Office 365、Azure)で同じパスワードを使用できますが、追加のインフラストラクチャやフェデレーション環境は必要ありません。
- AD FSとのフェデレーション。ハイブリッド環境は、オンプレミスで展開されたActive DirectoryとActive Directory Federationサービスを使用して構成する必要があります。証明書の更新と追加のAD FSサーバーの展開がサポートされています。
- PingFederateとの連携。このオプションは、企業のPingFederateサーバーがインフラストラクチャに展開されており、ユーザー認証のシングルサインオンを提供する場合に使用できます。
- 構成しないでください。フェデレーテッドサインインには、このウィザードで管理されていないソリューションを使用できます。エンタープライズネットワークにログインしているユーザーは、Office 365をADと同期させることで、再度パスワードを入力する必要なくクラウドリソースにアクセスできます。
Active Directory Federation Servicesに関するブログ記事を読んでください。
パスワードハッシュの同期または構成しないを推奨オプションとして選択してください。何をすべきかわからない場合は。
Azure ADに接続します。Microsoft Azure/Office 365(office 365管理者資格情報)のグローバル管理者特権を持つMicrosoft 365ユーザーアカウントのユーザー名とパスワードを入力します。この管理者アカウントは、Azure AD Connectを構成してOffice 365 AD同期を実行可能にするために必要です。各ステップで次へを押して続行します。
ディレクトリに接続。オンプレミスドメイン環境で使用されている現在のActive Directoryの情報を入力します。ディレクトリタイプ(Active Directory)を選択し、ドメインフォレストを指定し、ディレクトリを追加をクリックし、ドメイン管理者資格情報を入力します。ドメインフォレストを同期する必要がある場合は、エンタープライズ管理者資格情報を使用します。
Azure AD サインイン。ドメインと Active Directory UPN サフィックスを確認します。Azure AD と Office 365 でユーザー名として使用するオンプレミス属性を選択します。 userPrincipalName を選択します。ドメインが確認されていない場合は、確認済みのドメインなしで続行 チェックボックスを選択します。後で検証プロセスを完了して、ユーザーが Azure AD と Office 365 にログインできるようにします。
ドメインと OU フィルタリング。この画面のデフォルト設定を残して、すべての AD データの Active Directory 同期を実行します。設定をカスタマイズする必要がある場合は、カスタムドメインと組織単位を選択します。同期しないドメインや組織単位を選択解除することができます。
ユーザーの識別。オフィス 365 との Active Directory 同期の基本的なセットアップのために、このステップでデフォルト設定を残すことをお勧めします(1 つの Azure AD、1 つのドメイン、1 つの AD フォレスト用)。より複雑なセットアップを行う必要がある場合は、ディレクトリ間のユーザー ID のカスタムオプションを選択します。 ソース アンカー ユーザー識別オプションでは、ID を生成してユーザーをマップするためのデフォルトの objectGUID オプションを選択します。
フィルタリング。すべてのユーザーとデバイスを同期するか、カスタムオブジェクトを選択して同期するかを選択します。グループベースのフィルタリングを使用できます。
オプション機能。必要に応じて追加機能を選択します。各機能の名前の隣にある「?」アイコンの上にカーソルを置くと、適切な決定を支援するヒントが表示されます。
構成する準備ができました。このウィザードの設定が完了したら、同期プロセスを開始するチェックボックスを選択して、すぐに同期を開始するかどうかを選択します。同期が必要な時には、このチェックボックスを解除して手動で同期を開始できます。インストールをクリックして、構成を終了します。
インストールと構成が完了するまでお待ちください。 構成が完了しましたというメッセージが表示されたら、終了をクリックしてアプリケーションを閉じます。オフィス 365 AD 同期プロセスの完了に関する短い情報が構成が完了しました画面に表示されます。その後、Microsoft 365 管理センターを開いて、Office 365 との Active Directory 同期が正常に完了したかどうかを確認します。Azure ポータルのAzure AD Connect Healthページの同期エラーセクションを開いて、エラーに関する詳細情報を確認します。エラーがある場合は、提供された推奨事項を読んで、エラーを修正できるかどうかを確認してください。
Office 365 AD 同期が正常に完了した場合、オンプレミス Active Directory との Office 365 同期後に追加された新しい Office 365 ユーザーにライセンスを割り当てることができます。
Azure AD Connect 構成のエクスポート
Expressモードまたはカスタマイズモードを使用してAzure AD Connectを展開できます。複数の展開で同じAzure AD Connect構成を使用して、オンプレミスのActive DirectoryとOffice 365/Azureを同期し、複数のADフォレストを同期する場合は、Azure AD Connect構成をエクスポート/インポートすることを検討してください。
Azure AD Connectをウィザードを使用してGUIで構成した後、構成は%ProgramData%\AADConnectフォルダに保存されたJSONファイルに保存されます。JSONファイルの名前はApplied-SynchronizationPolicy-*.JSONのようになり、*は構成が保存された日時を示します。GUIで行われた変更は自動的にエクスポートされます。ただし、PowerShellで行われた変更は必要に応じて手動でエクスポートする必要があります。
設定をインポートするためには、Azure AD Connectを実行し、カスタマイズオプションを選択し、必要なコンポーネントのインストール画面で同期設定のインポートを選択し、参照をクリックしてJSON構成ファイルを選択します。
構成のインポートにより、ユーザーは短時間でAzure AD Connectを構成するための手動データ入力を最小限に抑え、同じ構成を複数のサーバーに再現することができます。
構成移行ツール
Office 365 Active Directory同期を実行する際に、別のサーバーからAzure AD Connectの構成をエクスポートおよびインポートするツールがあります。
MigrateSettings.ps1ファイルを最初のサーバーにインストールされているAzure AD Connectがインストールされている場所のC:\Program Files\Microsoft Azure Active Directory Connect\Tools\またはカスタムフォルダからカスタムの場所にコピーします。たとえば、C:\Programs\。
最初の(既存の)サーバーでMigrateSettings.ps1スクリプトを実行します。 “True”引数を受け入れるパラメーターが見つからないという出力メッセージが表示された場合は、スクリプトを編集してスクリプトから$trueを削除します。
スクリプトを実行し、出力でディレクトリを確認します。 Azure AD同期構成はこのフォルダにエクスポートされます。このExported-ServerConfiguration-*フォルダとその内容を2番目の(新しい)サーバーにコピーします。
2番目のサーバーでAzure AD Connectを実行し、必要なコンポーネントをインストール画面で同期設定をインポートを選択し、コピーしたExported-ServerConfiguration-*フォルダにあるMigratedPolicy.json構成ファイル(上記の説明通り)を選択します。
その他のOffice 365 AD同期オプション
同期操作間の標準間隔である30分を待つことができない場合は、PowerShellコマンドを使用してOffice 365 AD同期を強制的に実行します。通常、Azure AD Connectツールと一緒にAzure Active Directory PowerShellモジュールがインストールされています。
ADSync PowerShellモジュールをインポートします:
Import-Module ADSync
現在のOffice 365 AD同期設定を確認します:
Get-ADSyncScheduler
デルタ同期を強制して、前回の成功した同期以降に行われた変更のみを同期します:
Start-ADSyncSyncCycle -PolicyType Delta
すべてのデータを同期するためにフル同期を強制します:
Start-ADSyncSyncCycle -PolicyType Initial
Office 365 AD同期の間隔を10分に変更します:
Set-ADSyncScheduler -CustomizedSyncCycleInterval 00:10:00
手動でOffice 365 AD同期を行った場合、ユーザーパスワードは同期されません。この場合は、Azure AD Connectを実行しているローカルサーバー上のAD同期Office 365サービスを再起動して、資格情報が正しいことを確認してください。
構成推奨事項
Azure AD Connectがインストールされているサーバーを保護します。Azure AD Connectを実行しているサーバーに対して、管理者でないユーザーのアクセスを制限します。このActive Directory同期ツールで使用されるサービスアカウントを保護するために強力なパスワードを使用します。このツールのパワーを知っているため、強力なパスワードは、誰かがAD同期を実行しているサーバーにアクセスした場合に重要です。信頼されたユーザーをADSyncAdminsグループに追加して、便利なアクセス管理を行います。
オンプレミスのADからAzure ADおよびOffice 365に同期するグループを確認します。すべてのグループを同期する必要はありません。クラウドで無用なグループがあるか、セキュリティや生産性の観点から同期する理由がない可能性があります。Microsoft 365およびAzureクラウド環境に関連しないセキュリティグループや配布グループをフィルタリングします。Office 365 Active Directory同期からすべての管理者グループを除外します。
Office 365アクティブディレクトリの同期とAzure AD同期をバックアップソリューションとして考慮しないでください。クラウド内のオブジェクトの一部の属性は一意です。たとえば、Office 365ユーザーのライセンス情報です。クラウド内でこの特定の情報が削除された場合、オンプレミスのActive DirectoryからOffice 365アクティブディレクトリ同期を実行してもこの情報を回復することはできません。オンプレミスのActive DirectoryをAzureに同期することは、Active Directoryおよびドメインコントローラのバックアップとは異なります。オンプレミスで実行されているActive Directoryドメインコントローラとクラウド内のOffice 365データを保護するために特別なツールとバックアップソリューションを使用してください。
Office 365バックアップとActive Directoryバックアップ
定期的にOffice 365バックアップを実行し、これらのバックアップを安全な場所に保存する必要があります。Office 365バックアップには、Exchange Onlineメール、OneDrive、SharePointなどのOfficeアプリケーションから必要なデータを含めるべきです。Office 365データはクラウドに保存されていますが、このデータの一部がランサムウェアで破損されたり、誤って削除された場合、バックアップがそのデータを回復する唯一の方法となることがあります、特にデータ損失に気付いた時が遅すぎる場合。
Active DirectoryはWindowsネットワーク内の中央集中管理システムです。Active Directoryドメインコントローラが利用できなくなると、企業全体の運用が停止する可能性があります。オンプレミスで実行されているActive Directoryドメインコントローラのバックアップを取得し、災害が発生した場合にデータを回復できるようにしてください。実行中のサーバーと実行中のアプリケーションをバックアップする際にアプリケーション認識バ���クアップをサポートする専用のサードパーティバックアップソリューションを使用することをお勧めします。
NAKIVO Backup&Replicationは、Exchange Online、SharePoint Online、Microsoft Teams、およびOneDrive for Businessなどのアプリを含む、Office 365クラウドバックアップをサポートするSMBおよびエンタープライズ向けのデータ保護ソリューションです。複数のOffice 365テナントをバックアップし、すべてのユーザーまたはカスタムユーザーを選択し、必要なアイテムを細かく復元できます。
NAKIVO Backup&Replicationは、Active Directoryドメインコントローラーとして機能するWindowsサーバーを含む物理サーバーバックアップをサポートし、Active Directoryバックアップを実行できます。アプリケーションに対応したバックアップのサポートにより、ドメインコントローラーをバックアップし、バックアップでアプリケーション整合性のあるデータを持つことができます。物理サーバーバックアップでも細かいリカバリがサポートされています。
結論
クラウドへの移行をする組織は一部分だけ行っています。彼らはクラウドサービスとオンプレミスでActive Directoryサービスを併用しています。これはハイブリッド環境として知られています。Office 365をADと同期させるオプションは、組織がハイブリッド環境を構成し、オンプレミスのADとAzure ADの間でユーザーアカウントと認証オプションを同期させることができるようにします。
Office 365のActive Directory同期は、Microsoftが開発したネイティブツールであるAzure AD Connectで行うことができます。オンプレミスのActive Directoryを準備し、オンプレミスのドメインとOffice 365テナントにリンクされた外部ドメインのドメイン設定を構成し、AD ConnectでOffice 365ディレクトリ同期オプションを構成する必要があります。Office 365のActive Directory統合により、ユーザーはオンプレミスのWindows環境とOffice 365で同じ資格情報を使用できます。
Source:
https://www.nakivo.com/blog/a-step-by-step-guide-to-setting-up-office-365-ad-sync/